Отличительной особенностью этого законопроекта является то, что при его реализации все участники рынка рекомендуют ориентироваться в первую очередь на позицию собственного корпоративного юриста и/или правоприменительную практику. Обусловлено это отсутствием четкости в формулировках законодателя относительно самих данных (что считать персональными данными), а также отсутствием четкой позиции в отношении нарушений.
Многие компании, которые задались вопросом о реализации данной нормы закона, начали с инвентаризации своих информационных систем и определения возможного перечня видов информации, которые могут содержать персональные данные в этих системах. Всех участников рынка, столкнувшихся с этим вопросом, можно условно разделить на три категории:
Многие компании-«библиотеки» уже подтвердили свои намерения о переводе серверов с персональными данными в Российскую Федерацию, и по мере приближения сентября все больше представителей этого сегмента будут анонсировать подобные намерения.
Компании, количество записей которых варьируется от одной до нескольких тысяч («записные книжки» и «книжные полки», а это самая многочисленная группа компаний), находятся в ситуации с наибольшим уровнем неопределенности. Именно эти компании скорее всего окажутся в ситуации, когда их основные базы данных (системы классов ERP, CRM и другие) находятся на серверах за пределами Российской Федерации, и их перенос и хранение на ее территории будет в конфликте с существующей глобальной ИТ-политикой. Вопросы времени и бюджета на перенос этих данных также остаются открытыми.
Среди множества решений, которые упомянутые группы компаний активно обсуждают, можно выделить три основных сценария, направленных на выполнение требований законодателя.
В этом сценарии требования законодателя в полной мере выполняются, т.к. никаких ограничений на передачу персональных данных через границу в иные базы данных, в том числе и за рубеж, настоящим законом не вводится. При этом обеспечивается основное требование: сбор и хранение персональных данных на территории Российской Федерации.
В качестве четвертой альтернативы можно рассмотреть деперсонализацию персональных данных, хранимых на серверах за пределами Российской Федерации. В данном сценарии информация хранится в обезличенном виде и не может быть достоверно отнесена к какому-либо конкретному лицу. Доступ к информации осуществляется через дополнительное программное обеспечение. Данные обезличены и не могут считаться персональными.
Следует отметить, что полный список решений далеко не ограничивается описанными сценариями. Существуют и весьма нетривиальные сценарии — вплоть до отказа от какого-либо бизнес-процесса из-за невозможности выполнить требования законодателя.
В то же время большинство компаний стараются опираться на те решения, которые уже опробованы на рынке, и эти решения предполагают отвлечение меньшего количества ресурсов при их реализации.
Каждый клиент уникален, поэтому специалисты компании BearingPoint готовы предложить наиболее оптимальный сценарий реализации закона о персональных данных, учитывая специфику бизнеса, требования и реальные возможности каждого клиента.